Google Chrome ゼロデイ脆弱性 CVE-2024-0519 が FIX:野放し状態で悪用されている

Google fixes first actively exploited Chrome zero-day of 2024

2024/01/16 BleepingComputer — Google は、2024年に入ってから初めて悪用された、Chrome のゼロデイ脆弱性 CVE-2024-0519 を修正するセキュリティ・アップデートをリリースした。同社は 2024年1月16日に公開したセキュリティ・アドバイザリで、「CVE-2024-0519 が、野放し状態で悪用されているという報告を受けている」と述べている。


Google は、Stable Desktop channel のユーザー向けにゼロデイを修正した。同社は、報告を受けてから1週間も経たないうちに、世界中の Windows/Mac/Linux ユーザーに対して、パッチが適用された以下のバージョンをリリースした。

  • Windows 120.0.6099.224/225
  • Mac 120.0.6099.234
  • Linux 120.0.6099.224

同社は、影響を受ける全てのユーザーにセキュリティ・アップデートが行き渡るまでに、数日〜数週間かかる可能性があると述べている、しかし、1月16日に BleepingComputer がアップデートを確認したところ、すでに利用可能となっていた。

Chrome を手動でアップデートしたくない場合は、自動的に新しいアップデートをチェックし、次の起動後にインストールする機能を利用できる。

Google Chrome 120.0.6099.234

この深刻度の高いゼロデイ脆弱性 CVE-2024-0519 は、Chrome V8 JavaScript エンジンに存在する境界外メモリアクセスの欠陥に起因する。この脆弱性の悪用に成功した攻撃者は、メモリ・バッファを超えるデータにアクセスして、機密情報へのアクセスやクラッシュを引き起こす可能性がある。

MITRE は、「予期していた防御が境界外のメモリに配置されず、過剰なデータが読み込まれると、セグメンテーション・フォールトやバッファ・オーバーフローが発生する可能性がある。また、この製品には、インデックスの変更や、バッファの境界外のメモリ・ロケーションを参照するポインタ演算の実行の可能性がある。したがって、その後の読み出し操作において、予期せぬ結果が生じる」と詳述している。

この脆弱性 CVE-2024-0519 は、境界外メモリへの不正アクセス以外にも、ASLR (Address Space Layout Randomization) のような保護メカニズムを迂回するために悪用される可能性があり、別の脆弱性を介してコード実行を容易にする。

Google は、攻撃に使用された CVE-2024-0519 ゼロデイ・エクスプロイトを確認しているというが、これらのインシデントに関する詳細は、まだ共有されていない。

同社は、「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正版を更新するまで制限され続けるかもしれない。また、そのバグがサードパーティのライブラリに存在し、他のプロジェクトにも同様の依存性があるが、現時点で修正されていない場合には、制限を維持する」と述べている。

また、1月16日に Google は、V8 に存在する境界外書き込みの脆弱性 CVE-2024-0517) /タイプ・コンフュージョンの脆弱性 CVE-2024-0518 も修正している。これらの脆弱性は、侵害されたデバイス上での任意のコード実行をゆるすものだ。

なお、2023年に Google が修正した Chrome ゼロデイは、下記の8つである。

  • CVE-2023-7024
  • CVE-2023-6345
  • CVE-2023-5217
  • CVE-2023-4863
  • CVE-2023-3079
  • CVE-2023-4762
  • CVE-2023-2136
  • CVE-2023-2033

そのうちの、CVE-2023-4762 を含むいくつかは、Google がパッチをリリースした数週間後に、ジャーナリスト/野党政治家/反体制派などの、ハイリスク・ユーザーが所有する脆弱なデバイスに、スパイウェアを展開するために悪用された。

この Chrome の脆弱性 CVE-2024-0519 ですが、日本時間でも 1月17日にアップデートが可能になっていました。まだ、CVSS 値が確認できていませんが、Google は High と評価しています。文中には、ASLR 保護メカニズムの迂回についても触れられていますが、Wikipedia を参照すると、この技術には難しさもつきまとっているように思えます。それもあって CISA は、Security-by-Design でメモリ・セキュアなプログラミング言語の使用を目指しているのでしょう。